La Agencia de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional tiene grandes planes.
En una extensa sesión informativa para los vendedores, a la que asistió DCD, la división de ciberseguridad del gobierno de los EE.UU describió su hoja de ruta para los próximos cinco años, y la división espera aumentar en tamaño, presupuesto y pasar a la nube.
Todo en la nube
La charla, realizada en Adobe Connect la semana pasada, fue dirigida por Bryan Ware, el nuevo asistente del director de seguridad cibernética de CISA.
Ware trabajó anteriormente con contratistas de defensa en proyectos como el programa Star Wars, las primeras cargas útiles de drones y las tecnologías antiterroristas. En 1998, fundó una startup de IA que fue adquirida por Haystax en 2013.
Según Ware, CISA está estancada en el pasado. Muchos de sus protocolos y herramientas se establecieron hace cinco o seis años, antes del gran impulso del gobierno para la computación en la nube. "A partir de ese entorno, creamos estos programas para abordar las amenazas y los riesgos que vimos", dijo Ware.
"Y en los últimos cinco o seis años ha habido esta aceleración del tráfico encriptado, esta aceleración de moverse a la nube", dijo. “Hemos visto al adversario cambiar sus tácticas y estrategias. Y entonces, esa imagen que estamos viendo nos está ayudando a refinar la estrategia que queremos ejecutar, la estrategia que creemos nos pondrá en la posición de asegurar y defender no solo hoy sino también asegurar el mañana ".
Eso requerirá que CISA se desplace lo más pronto posible a la nube, dijo Ware. "Después de haber trabajado en otras partes del gobierno de los EE.UU. y de la industria comercial antes de venir a CISA, hemos sido un poco lentos al adoptarnos en la nube", dijo. “Y ahora estamos trabajando muy agresivamente para expandir significativamente nuestras capacidades en la nube.
Martin Gross, director asociado de entrega de capacidades, explicó que el enfoque en la nube de la agencia será híbrido.
"Será la gama completa de ofertas en la nube, dependiendo de lo que tengamos que hacer, cuán sensibles sean los datos y dónde deben estar y qué clientes estamos atendiendo con nuestras capacidades".
Es en ese último punto CISA espera tener el mayor impacto, no solo en la mejora de sus capacidades en la nube, sino en las de todos los departamentos y agencias de la extensa burocracia estadounidense.
Una cuestión de QSMO
A principios de este mes, la Oficina de Administración y Presupuesto designó a CISA como la Oficina de Administración de Servicios de Calidad para los Servicios de Ciberseguridad, específicamente la estandarización del Centro de Operaciones de Seguridad, la estandarización de la Gestión de Vulnerabilidades y el servicio de Resolución de DNS.
En esencia, este QSMO tiene como objetivo servir como escaparate para todas las agencias que buscan adquirir servicios de nube y ciberseguridad comerciales y no comerciales. "Para que podamos proporcionar a esa pila completa todos los productos y servicios que usted, como departamento o agencia, necesitaría saber que está operando de manera segura y de manera flexible", explicó Ware.
“Y para construir un QSMO, tenemos que construir nuevos modelos de negocio, tenemos que construir formas flexibles para adquirir y entregar esos productos y servicios.”, continuó.
"Tenemos que cambiar la forma en que encontramos esos productos, la forma en que escaneamos en busca de tecnologías emergentes, los tipos de proveedores con los que estamos trabajando", dijo. "Tenemos que encontrar las formas de obtener productos antiguos que ya no cumplen con las amenazas y riesgos modernos o con nuestras pautas de rendimiento".
En última instancia, CISA quiere "llegar al lugar donde estamos comprando en nombre de todo el gobierno de los Estados Unidos", dijo Ware. "Y con ese poder de compra debería venir la capacidad de impulsar la eficiencia y la estandarización".
Ware advirtió que aún es pronto, y aún hay mucho en el aire. Pero, dijo a los asistentes el Día de la Industria que incluyeron a Raytheon, Northrop Grumman y Juniper Networks, "Siento que estamos en un punto de inflexión en este momento. Estamos buscando que se asocien con nosotros en este momento realmente clave ".
Más poder
Otro obstáculo para conseguir el éxito es que la mayor parte de lo que hace CISA es voluntario, tanto para otras agencias como para las empresas que intenta vigilar. "Cuando brindamos servicios y capacidades a la industria, no los estamos obligando como su regulador", dijo Ware. "No los estamos obligando como una agencia de aplicación de la ley, estamos diseñados para ser y nos esforzamos por ser sus socios de seguridad cibernética, y lo mismo ocurre con los departamentos y agencias".
Dicho esto, sin embargo, Ware espera que la agencia vea un aumento en el poder. "En algunos casos, CISA, y realmente el resto del gobierno de los Estados Unidos, simplemente no tienen las autoridades que necesitamos, de una manera que a veces es inesperada, para poder proporcionar el tipo de ciberseguridad a la nación necesita.
Con su cambio a la nube, la agencia espera tener una visibilidad mucho mayor en las diversas redes del gobierno. "Necesitamos ver dónde están los atacantes, necesitamos ver dónde están las vulnerabilidades sin parches".
Otro aumento en el poder vendrá en forma de un aumento en el número de personal: "somos una de las partes de más rápido crecimiento del gobierno de los Estados Unidos en este momento, y espero que dupliquemos este tamaño en unos pocos años más". La División de Ciberseguridad de CISA tiene aproximadamente mil millones de dólares al año. "Esperamos que eso se duplique para 2023", dijo Ware. "Pero también tenemos un programa de I + D de $ 100 millones con [DHS Science and Technology]".
A corto plazo, CISA también está buscando obtener fondos adicionales para combatir los ciberataques relacionados con Covid-19, dijo Matt Kelley, director asociado de estrategia cibernética. “La Covid-19 aumentará nuestro presupuesto. Ustedes han visto algunas de las alertas que hemos enviado, y algunos de los análisis que hemos realizado: hay un mayor nivel de actividad adversa contra una infraestructura crítica específica".
Cuando la sesión informativa llegó a su fin, Ware hizo una súplica más apasionada por una mayor colaboración corporativa con el organismo público. “Creo que nos esperan los días más emocionantes y queremos ser su mejor cliente. Queremos ser la agencia con la que todos quieran trabajar ”.